Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

Wirusy polimorficzne - rodzaje / objawy / usuwanie


  • Zamknięty Temat jest zamknięty
3 odpowiedzi w tym temacie

#1
Landuss

Landuss

    Moderator

  • Moderatorzy
  • 7315 postów
Dołączona grafikaWirusy polimorficzne


Co to są wirusy polimorficzne?


Jedne z najtrudniejszych zagrożeń do usunięcia jakie istnieją w sieci. Nie mają swojej określonej sygnatury. Posiadają zdolność modyfikacji własnego kodu i każde kolejne ich kopie wyglądają inaczej. Utrudnia to wykrycie infekcji, ponieważ program antywirusowy szuka konkretnego fragmentu kodu, który wirus polimorficzny potrafił już zmienić. Takie infekcje są wykrywane za pomocą heurystyki. Ich zadaniem jest wszczepianie szkodliwego kodu do plików wykonywalnych takich jak EXE / DLL / SCR. Obecne warianty infekcji niestety potrafią też zainfekować inne rozszerzenia plikowe takie jak np. JPG / PDF / DOC. Temat opisuje poradę dotyczącą objawów, rodzajów infekcji oraz ewentualnej walki z tymi infekcjami bez formatowania dysku twardego. Są to bardzo ciężkie przypadki i tak naprawdę nie zawsze jest możliwe wyleczenie dysku bez jego całkowitego formatowania. Infekcje te przenoszą się często z plików pobranych za pomocą programów P2P, natomiast obecnie najczęsciej dostają się do systemu poprzez media przenośne (pendrive, karty pamięci, dyski USB etc.)



Dołączona grafika Podstawowe objawy

Dołączona grafika Popularne rodzaje wirusów polimorficznych

Dołączona grafika Usuwanie wirusów polimorficznych bez formatowania dysku


Copyright @Landuss fixitpc.pl Powielanie tej pracy zabronione.

#2
Landuss

Landuss

    Moderator

  • Moderatorzy
  • 7315 postów
Podstawowe objawy


Dołączona grafika modyfikacja kodu biblioteki NTDLL.DLL. Tak zmodyfikowana biblioteka dba o ciągłość cyklu zarażania i będzie to widoczne w niektórych logach pod taką postacią:

detected NTDLL code modification:
ZwOpenFile


Dołączona grafika komunikaty programów zabezpieczających o wykryciu infekcji w plikach .exe:

Dołączona grafika


Dołączona grafika ogólne spowolnienie komputera i wykonywanych na nim czynności

Dołączona grafika wzmożony ruch na portach sieciowych

Dołączona grafika pliki wykonywalne zwiększają swoją wagę

Dołączona grafika nieuruchamiające się programy oraz blokada antywirusów i stron producentów

#3
Landuss

Landuss

    Moderator

  • Moderatorzy
  • 7315 postów
Popularne rodzaje wirusów polimorficznych


virus-spyware-icon.jpgWin32:Virut

(inne nazwy wirusa - Win32.Virtob / Win32:Vitro / W32.Splendor / Win32.Cheburgen)

W pierwszych wersjach ta infekcja była znana jako wirus VT100. Oprócz standardowych plików wykonywalnych bierze się też za pliki JPG / PDF / DOC. Można ją rozpoznać przede wszystkim z poziomu odczytów rootkit detekcji, która będzie pokazywać hooki NTDLL.DLL (NtCreateFile / NtCreateProcess / NtCreateProcessEx / NtOpenFile):
 

.text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FF927E1
.text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FF92835
.text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FF92842
.text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FF9282E
.text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FFA27E1
.text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FFA2835
.text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FFA2842
.text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FFA282E
.text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FF927E1
.text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FF92835
.text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FF92842
.text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FF9282E
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FFA27E1
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FFA2835
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FFA2842
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FFA282E


Przy tej infekcji mogą występować pośrednie znaki infekcji dodatkowych, które są dociągane z sieci. Ta sytuacja jest uzależniona od wariantu infekcji Virut.


Przydatne narzędzia do usuwania infekcji:
  • kav_m.gifbutton.png
  • symantec_m.gifbutton.png
  • drweb_m.gifbutton.png
  • avg_m.gifbutton.png




virus-spyware-icon.jpgWin32:Sality

(inna nazwa wirusa - Win32.Sector.12)

Jeden z objawów tego rodzaju infekcji to usługa przeważnie o tej samej nazwie abp470n5 / dac970nt / asc3360pr ale o losowym pliku.

Przykładowy wygląd w logach:
 

Service C:\WINDOWS\system32\drivers\plooko.sys [MANUAL] abp470n5

Service C:\WINDOWS\system32\drivers\mehfos.sys [MANUAL] abp470n5

S3 dac970nt;dac970nt;\??\c:\windows\system32\drivers\klllim.sys --> c:\windows\system32\drivers\klllim.sys [?]

DRV - File not found [Kernel | On_Demand | Running] -- -- (asc3360pr)



Występują blokady menedżera zadań + edytora rejestru:
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools=1



Namnażanie losowych plików w katalogu Temp w folderze profilu:
 

"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winavrajg.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\winavrajg.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\cjfau.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\cjfau.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\wincdul.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\wincdul.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\tipnr.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\tipnr.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winetpw.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\winetpw.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winjwvmdk.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\winjwvmdk.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winoisanc.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\winoisanc.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\ppryu.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\ppryu.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\aual.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\aual.exe:*:Enabled:ipsec -- File not found




Przydatne narzędzia do usuwania infekcji:
  • kav_m.gifbutton.png button.png
  • drweb_m.gifbutton.png
  • avg_m.gifbutton.png




virus-spyware-icon.jpgWin32:Jeefo

(inna nazwa wirusa - Win32.Hidrag)

Jeefo montuje usługę PowerManager na pliku C:\WINDOWS\svchost.exe (nie mylić z systemowym C:\WINDOWS\system32\svchost.exe)

Wygląd w logu:
 

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe

S4 PowerManager;Power Manager;C:\windows\svchost.exe [2001-8-24 36352]




Przydatne narzędzia do usuwania infekcji:
  • sophos_m.gifbutton.png
  • drweb_m.gifbutton.png




virus-spyware-icon.jpgWin32:Mabezat

Znakiem szczególnym tej infekcji jest obecność na dysku poniższych obiektów:
 

%SystemDrive%\Documents and Settings\tazebama.dl_
%SystemDrive%\Documents and Settings\hook.dl_
%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe
%SystemDrive%\Documents and Settings\tazebama.dll
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\tazebama.log
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\zPharaoh.dat
C:\zPharaoh.exe
C:\autorun.inf




Przydatne narzędzie do usuwania infekcji:
  • avg_m.gifbutton.png




virus-spyware-icon.jpgWin32:Tenga

(inne nazwy wirusa - W32.Licum / W32.Gael / W32.Stanit)

Robak sieciowy infekujący wszystkie pliki wykonywalne .EXE. Wchodzi przez niezamknięty port DCOM 139.
W celu zamknięcia portu należy posłużyć się przydatnym narzędziem Windows Worms Doors Cleaner

Głównym objawem obecności wirusa jest wyskakujący komunikat systemowy o treści:

16-bitowy podsystem MS-DOS
dl.exe
NTVDM CPU: napotkano niedozwoloną instrukcję.
CS:06bd IP:0206 OP:63 61 74 69 6f Wybierz przycisk "Zamknij". aby zakończyć działanie aplikacji.


+ obecność charakterystycznych plików na dysku:

dl.exe
cback.exe
gaelicum.exe



Przydatne narzędzia do usuwania infekcji:
  • avg_m.gifbutton.png
  • kav_m.gifbutton.png




virus-spyware-icon.jpgWin32:Parite

(inne nazwy wirusa - W32.Pinfi / W32.Pate)

Po uruchomieniu przez użytkownika zainfekowanej aplikacji wirus aktywizuje się zarażając pamięć explorer.exe, a po tym shell roznosi wirusa na każdy plik wykonywalny na dysku gównie EXE / SCR. Widocznymi efektami działania wirusa jest zwiększenie wielkości plików wykonywalnych, pojawianie się nowych plików w katalogu C:\Windows\Temp oraz występowanie błędów przy uruchamianiu systemu Windows. Skanery antywirusowe mogą go wykryć w plikach wykonywalnych programów.

Przykład:
 

The W32/Parite.B Virus was found in file C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\AcroRd32.exe
The W32/Parite.B Virus was found in file C:\Program Files\Ahead\CoverDesigner\CoverDes.exe
The W32/Parite.B Virus was found in file C:\Program Files\Ahead\Nero\nero.exe
The W32/Parite.B Virus was found in file C:\Program Files\Ahead\Nero\NeroCmd.exe
The W32/Parite.B Virus was found in file C:\Program Files\Ahead\Nero\Uninstall\UNNero.exe
The W32/Parite.B Virus was found in file C:\Program Files\Ahead\Nero Wave Editor\WaveEdit.exe
The W32/Parite.B Virus was found in file C:\Program Files\Alwil Software\Avast4\ashAvast.exe
The W32/Parite.B Virus was found in file C:\Program Files\Alwil Software\Avast4\ashBug.exe
The W32/Parite.B Virus was found in file C:\Program Files\Alwil Software\Avast4\ashChest.exe
The W32/Parite.B Virus was found in file C:\Program Files\Alwil Software\Avast4\ashLogV.exe



Przydatne narzedzia do usuwania infekcji:
  • avg_m.gifbutton.png
  • kav_m.gifbutton.png




virus-spyware-icon.jpgWin32:Polipos

(inne nazwy wirusa - P2P-Worm.Win32.Polip.a / W32/Polip.A)

Oprócz złożonego polimorficznego mechanizmu, wirus posiada również opcję neutralizacji wielu programów antywirusowych, oraz innych zabezpieczeń. Z lekkością rozprzestrzenia się za pośrednictwem sieci P2P, przenika na podłączone maszyny i po aktywacji, niezauważalnie wciela je do ogólnie dostępnej sieci P2P. Po uruchomieniu, wirus wprowadza swój kod do prawie wszystkich aktywnych procesów.


Przydatne narzędzia do usuwania infekcji:
  • drweb_m.gifbutton.png


#4
Landuss

Landuss

    Moderator

  • Moderatorzy
  • 7315 postów
Usuwanie wirusów polimorficznych bez formatowania dysku


Usuwanie tego typu infekcji bardzo często jest trudne i nie zawsze się udaje. Jeśli mimo wszystko chcemy uniknąć formatowania dysku należy podjąć próby leczenia. W przypadku wykrycia infekcji należy reagować szybko bo jeśli infekcja rozprzestrzeni się znacznie, może być już za późno. Gdy decydujemy się jednak na format to tej operacji musi ulec cały dysk (wszystkie partycje) gdyż infekcji ulegają też pliki wykonywalne partycji niesystemowych.

1. Usuwanie spod działającego Windows (mało skuteczne) poprzez robienie wielokrotnego skanowania wszystkich partycji np. programem Dr. Web CureIt oraz specjalnymi narzędziami do danego typu infekcji.



2.
Usuwanie z zewnątrz (skuteczniejsze) poprzez wykonanie na innym, niezainfekowanym komputerze bootowalnej płytki CD AV.

Lista tych płytek jest dostępna na forum: KLIK

Z jej poziomu należy wykonać pełne skanowanie dysku. To rozwiązanie sprawdza się lepiej gdyż Windows nie jest uruchomiony, a więc procesy zarażone nie są w użyciu co stanowi duży problem dla skanerów podczas działania systemu.



3.
W zależności od rozmiaru infekcji gdzie doszło do zarażenia plików systemowych może być potrzebna do wykonania reperacja systemu Windows i tym samym nadpisanie zainfekowanych plików czystymi kopiami. To sprawi, że wszystkie dane i konta na dysku pozostaną bez zmian. Do tej operacji potrzebna jest płyta z Windows.



4.
Usunięcie wszystkich programów, które będą wykrywane jako zarażone i ich ewentualna ponowna instalacja.
Jeżeli niektóre programy nie będą się chciały deinstalować, to proszę użyć tego narzędzia narzędzia Microsoftu: KLIK (zastępuje stary Windows Installer Cleanup). Warto dodać, że ten program jest pomocny tylko w przypadku aplikacji opartych na instalatorze MSI. Program usuwa tylko rejestrację programu (umożliwiając ponowną instalację), nie adresuje wszystkich komponentów danej aplikacji.



Przykład udanego wyleczenia zarażonych plików wykonywalnych przez szybki skaner:

atiptaxx.exe;C:\program files\ati technologies\ati control panel;Win32.Virut.51;Wyleczony.;
iexplore.exe;C:\program files\internet explorer;Win32.Virut.51;Wyleczony.;
qttask.exe;C:\program files\quicktime;Win32.Virut.51;Wyleczony.;
winampa.exeC:\program files\winamp;Win32.Virut.51;Wyleczony.;
regsvr32.exe;C:\windows\system32;Win32.Virut.51;Wyleczony.;
ups.exe;C:\windows\system32;Win32.Virut.51;Wyleczony.;
userinit.exe;C:\windows\system32;Win32.Virut.51;Wyleczony.;
wmiapsrv.exe;C:\windows\system32wbem;Win32.Virut.51;Wyleczony.;
wdfmgr.exe;C:\windows\system32;Win32.Virut.51;Wyleczony.;

dxf2mxwl.exe C:\Ansoft Win32.Sector.12 Wyleczony.
maxwell.exe C:\Ansoft Win32.Sector.12 Wyleczony.
obs2sld.exe C:\Ansoft Win32.Sector.12 Wyleczony.
obs2sm2.exe C:\Ansoft Win32.Sector.12 Wyleczony.
plotdata.exe C:\Ansoft Win32.Sector.12 Wyleczony.
usrmatdb.exe C:\Ansoft Win32.Sector.12 Wyleczony.
ac2d.exe C:\Ansoftm2dsv9 Win32.Sector.12 Wyleczony.
axial2d.exe C:\Ansoftm2dsv9 Win32.Sector.12 Wyleczony.
cn2d.exe C:\Ansoftm2dsv9 Win32.Sector.12 Wyleczony.



.




Użytkownicy przeglądający ten temat: 1

0 użytkowników, 1 gości, 0 anonimowych